Umowa o przetwarzaniu danych
Ostatnia aktualizacja: 3 kwietnia 2026
1. Strony
Administrator danych: Ty ("Klient") — wdrożeniowca AI, agencja lub platforma korzystająca z usług Audact.
Podmiot przetwarzający dane: Audact Ltd ("Audact") — przetwarzanie metadanych interakcji w Twoim imieniu.
2. Zakres przetwarzania
Kategorie danych: Metadane połączeń (znaczniki czasu, identyfikatory jurysdykcji, decyzje polityczne, wyniki walidacji, skróty dowodów, rekordy zgody).
Nie przetwarzane: Treść rozmów, nagrania audio, PII poza tym co jest niezbędne do walidacji zgodności. Wszystkie PII są szyfrowane kluczami per podmiot i podlegają kryptograficznemu usuwaniu na żądanie kasowania.
Cel: Walidacja zgodności, generowanie dowodów i utrzymanie ścieżki audytu zgodnie z instrukcjami Klienta.
3. Podprzetwórcy
Wszystkie strony trzecie przetwarzające dane w imieniu Audact lub naszych klientów. Lista ta jest utrzymywana zgodnie z wymogami GDPR Article 28.
| Podprzetwórca | Cel | Przetwarzane dane | Lokalizacja |
|---|---|---|---|
| AWS (Frankfurt) | Hosting infrastruktury | Wszystkie dane platformy | UE (Frankfurt) |
| Cloudflare | CDN, DNS, ochrona DDoS | Metadane żądań | UE + globalna krawędź |
| Telnyx | Telefonia SIP | Audio połączenia w tranzycie, metadane telefonii | Punkty obecności UE — SCC |
| LiveKit Cloud | Transport WebRTC, wykrywanie tury | Audio w tranzycie (brak retencji) | Region UE |
| Deepgram Nova-3 | Mowa na tekst (domyślny) | Audio w tranzycie (brak skonfigurowanej retencji) | USA (punkt końcowy UE) — SCC |
| ElevenLabs Flash | Tekst na mowę (domyślny) | Tekst generowany przez LLM | USA/UE — SCC |
| OpenAI / Anthropic | Wnioskowanie LLM (GPT-4o-mini domyślny, Claude Sonnet premium) | Tekst konwersacyjny (brak skonfigurowanej retencji) | USA (punkt końcowy UE gdzie dostępny) — SCC |
| Google Workspace | E-mail, dokumenty | Komunikacja biznesowa | USA/UE — SCC |
| Slack | Komunikacja wewnętrzna | Wiadomości wewnętrzne | USA — SCC |
| Notion | Wiki / zarządzanie projektami | Wewnętrzne dane operacyjne | USA — SCC |
| 1Password | Zarządzanie poświadczeniami | Zaszyfrowane poświadczenia | Kanada/UE |
| Stripe (gdy aktywny) | Przetwarzanie płatności | Dane rozliczeniowe | USA/IE — SCC |
Podprzetwórcy z USA działają na podstawie Standardowych klauzul umownych (SCC) jako mechanizmu transferu zgodnie z Rozdziałem V GDPR.
Powiadomimy Cię 30 dni przed dodaniem lub wymianą podprzetwórcy. Możesz zgłosić sprzeciw w ciągu 14 dni.
Ostatnia aktualizacja: 12 kwietnia 2026
4. Rezydencja danych
Wszystkie dane zgodności Klienta (metadane interakcji, łańcuchy dowodów, dzienniki audytów) są przechowywane i przetwarzane wyłącznie w Europejskim Obszarze Gospodarczym (EOG) na AWS eu-central-1 (Frankfurt).
Niektóre podprzetwórcy wymienieni powyżej mają siedzibę w USA i przetwarzają ograniczone dane operacyjne na podstawie Standardowych klauzul umownych (SCC). Żadne dane zgodności Klienta nie opuszczają EOG.
5. Środki bezpieczeństwa (GDPR Art. 32)
- Szyfrowanie w spoczynku (AES-256) i w tranzycie (TLS 1.3)
- Klucze szyfrowania per podmiot dla PII (możliwość kryptograficznego usuwania)
- Łańcuchy skrótów SHA-256 dla integralności dowodów
- Kontrola dostępu oparta na rolach (RBAC)
- SOC 2 Type II planowany 2027
- Regularne testy penetracyjne i skanowanie podatności
6. Prawa osób, których dane dotyczą
Audact wspiera Klienta w realizacji żądań osób, których dane dotyczą (dostęp, sprostowanie, kasowanie, przenoszenie) w ciągu 72 godzin od powiadomienia. Kasowanie jest implementowane przez kryptograficzne usuwanie: klucz szyfrowania per podmiot jest niszczony, czyniąc dane osobowe trwale nieodczytywalnymi przy zachowaniu integralności łańcucha dowodów.
7. Powiadomienie o naruszeniu
Audact powiadomi Klienta o wszelkich naruszeniach danych osobowych w ciągu 36 godzin od uświadomienia sobie tego faktu. Powiadomienie obejmuje: charakter naruszenia, kategorie danych, przybliżoną liczbę rekordów, prawdopodobne konsekwencje i podjęte środki.
8. Czas trwania i rozwiązanie
Niniejszy DPA obowiązuje przez czas trwania umowy o świadczenie usług. Po rozwiązaniu Audact usunie lub zwróci wszystkie dane Klienta w ciągu 30 dni, z wyjątkiem przypadków gdy retencja jest wymagana przez prawo (wymogi dotyczące dowodów EU AI Act).
9. Kontakt
Zapytania DPA: dpo@audact.ai